На связи Никита Скирдин, ведущий разработчик ИТ-интегратора «Белый код». Не так давно я настраивал DATAREON Platform для одной компании, которая тщательно охраняет информацию о своих разработках. Поэтому необходимо было развернуть платформу в закрытом контуре на Astra Linux. Информации по этой теме в интернете нет, поэтому решил поделиться нюансами, которые могут возникнуть у вас при установке.

В компаниях с определенным уровнем секретности чаще работают на российской операционной системе Astra Linux, которая имеет сертификацию до уровня государственной тайны «особой важности». В таких организациях обычно используется закрытая информационная среда. При этих условиях одному из наших заказчиков требовалась настройка безопасных и изолированных окружений для разработки и эксплуатации интеграций. 

У компании сложная структура: в разных отделах используют разные базы 1С, самописные сервисы, есть настроенная передача файлов через протокол SMB, при этом зачастую нет прямой сетевой связанности. В компании пользовались самописной шиной, однако была проблема с поддержкой. Чтобы настроить обмен, заказчик решил использовать DATAREON Platform. 

Условия при работе в закрытом контуре:

• отсутствует доступ к интернету;

• любое дополнительное ПО или библиотеку нужно заранее скачивать, переносить вручную и устанавливать локально;

• привычных «быстрых» решений, вроде подключения по SSH или RDP, не было — все работы выполнялись непосредственно на площадке заказчика.

А теперь расскажу, какие нюансы были при настройке DEV и PROD окружения для разработки и эксплуатации. 

Запуск от доменного пользователя

Требование заказчика заключалось в том, чтобы платформа работала не от локального, а от доменного пользователя. Это было связано с авторизацией в СУБД и доступом к SMB-ресурсам. 

Как это работает в Windows

В Windows для этого достаточно указать пользователя при установке DATAREON Platform. Дальше система сделает все необходимое сама.

Как это работает в Astra Linux

В Linux пришлось добавить дополнительный сервисный процесс и настраивать Kerberos, чтобы программа подключалась к домен-контроллеру и получала токен авторизации нужного пользователя. На решение этой задачи ушло несколько часов. Для администратора с опытом работы в Linux это привычно, но если команда привыкла к Windows — процесс может затянуться.

Администраторы подготовили keytab-файл для автоматического входа пользователя. На машине с установленным DATAREON мы написали следующий systemd-сервис (/etc/systemd/system/kinit-username.service) для автоматического входа и продления токена доступа:

```

[Unit]

Description=Kerberos autologin for username

After=network.target

[Service]

Type=simple

ExecStart=/usr/bin/kinit -k -t /etc/security/keytabs/username.keytab username@domain

ExecStartPost=/usr/bin/krenew -K 60 -b

RemainAfterExit=yes

[Install]

WantedBy=multi-user.target

```

Чтобы DATAREON запускался от имени данного пользователя, нужно было переопределить пользователя в сервисе, который запускает DATAREON: sudo systemctl edit platformmanager.service.

```

[Service]

User=username@domain

```

Работа с сертификатами

DATAREON использует сертификаты в формате PFX, который является стандартом для Windows. Для Linux часто используют другой формат, например, PEM.

Как это работает в Windows

Формат PFX обрабатывается DATAREON напрямую, включает и публичную часть, и закрытый ключ.

Как это работает в Astra Linux

Для Linux администраторы подготовили два файла, которые пришлось объединять. Технически задача решается одной командой, но важно учесть её на этапе установки:

```

openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem

```

Точки монтирования для подключения по SMB-протоколу

Проблема аналогичная проблеме с доменным пользователем: если в Windows настроить источник в виде общей папки довольно просто, то в Astra Linux для этого нужно совершить больше действий.

Как это работает в Windows

В Windows путь к расшаренной папке можно указать напрямую.

Как это работает в Astra Linux

В Linux пришлось дополнительно использовать сервис Samba, который выполняет монтирование внешней расшаренной папки в файловую систему Linux, что позволяет остальным программам обращаться к файлам в расшаренной папке как к простым файлам на диске. После этого в DATAREON Platfrom прописывается путь к точке монтирования.

Для автоматического монтирования SMB-шары к файловой системе Linux следует:

1. Заполнить файл с данными авторизации /etc/samba/credentials:

```

username=ЛОГИН

password=ПАРОЛЬ

domain=ДОМЕН

```

2. Прописать адрес шары и точку монтирования в /etc/fstab:

```

//server/share  /mnt/smb  cifs  credentials=/etc/samba/credentials  0  0

```

3. Затем можно смонтировать вновь добавленную шару: sudo mount -a. При перезапуске системы монтирование будет выполняться автоматически.

В DATAREON 

должна быть указана точка монтирования.

Выводы

Развернуть DATAREON Platform на Astra Linux технически несложно: установка выполняется в одну-две команды. Основные проблемы связаны с особенностями корпоративной инфраструктуры, а также с тем, чтобы найти грамотного системного администратора, который будет решать возникающие вопросы. Ведь для тех, кто привык работать в Windows, эти задачи могут показаться сложнее, чем они есть на самом деле. 

Недавно мы выпустили большой документ «Обзор российских ESB-решений», где собраны полезные материалы и все готовые обзоры. Будет интересно ИТ-директорам, архитекторам, разработчикам. Про DATAREON Platform там, кстати, тоже есть обзор.

Для всех, кто интересуется шинами данных, у нас есть сообщество в Телеграме «Шины не для машины». Это площадка для диалога между российскими разработчиками ESB и компаниями, которым нужна интеграционная шина. Если вы хотите узнать больше о DATAREON Platform, «1С:Шине», Factor-ESB и других отечественных решениях, вступайте в сообщество и задавайте вопросы.